VYRESENO: chyby v me konfiguraci ipsecu
Zdenek Kaminski
sutr na valasske-laboratore.cz
Čtvrtek Březen 20 08:12:34 CET 2008
Zdravim,
takze IPSec vyresen :-)
Klic, ktery je v /etc/racoon/psk.txt, muze byt od IP adresy oddelen
mezerou, dvemi mezerami, tabulatorem, proste [white space]. Neni tam tedy
(uz?) nutno mit stritkne tabulator.
A ted k tomu, co bylo spatne.
RedHati skripty se snazi dohadovat AH i ESP, nicmene protistrana
podporovala jen ESP a neproslo se do phase2, pokud jsem
pouzil:
spdadd 192.168.1.0/24 172.17.0.0/16 any -P out ipsec
esp/tunnel/90.183.41.194-194.228.231.162/require
ah/tunnel/90.183.41.194-194.228.231.162/require;
spdadd 172.17.0.0/16 192.168.1.0/24 any -P in ipsec
esp/tunnel/194.228.231.162-90.183.41.194/require
ah/tunnel/194.228.231.162-90.183.41.194/require;
misto spravneho:
spdadd 192.168.1.0/24 172.17.0.0/16 any -P out ipsec
esp/tunnel/90.183.41.194-194.228.231.162/unique;
spdadd 172.17.0.0/16 192.168.1.0/24 any -P in ipsec
esp/tunnel/194.228.231.162-90.183.41.194/unique;
protoze druha strana vytimeoutovala. Zacinalo se totize vyjednavat nejprve
AH a az pak ESP.
No a druhy problem byl s hodnotou level, jak je videt,
bylo treba pouzit 'unique' misto 'require'.
Toto je opet natvrdo v RH skriptu
(/etc/sysconfig/network-scripts/ifcfg-ipsec0) a neda se s tim nic delat.
No a posledni vec, musel jsem definovat SA pro dane spojeni jmenovite:
sainfo address 192.168.1.0/24 any address 172.17.0.0/16 any {
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}
misto obecneho:
sainfo anonymous {
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des;
authentication_algorithm hmac_md5 ;
compression_algorithm deflate ;
}
coz me zarazi, protoze v dokumentaci se jasne pise, ze toto anonymous
anonymous by melo stacit.
Takze to nakonec startuji rucne, protoze prepisovat RH skripty neni
prilis systemove.
Z.K.
--
Wallachian Laboratories? Freeride in UN*X systems...
Další informace o konferenci Linux